PostgreSQL 17.3、16.7、15.11、14.16、13.19が公開、深刻な脆弱性の修正と多数の不具合を解消

PostgreSQLグローバル開発グループは、現在サポートされている全てのメジャーバージョンを対象としたマイナーアップデート（17.3、16.7、15.11、14.16、13.19）をリリースしました。今回の更新には、共通脆弱性識別子CVE-2025-1094として識別されるセキュリティ上の重要な修正が含まれています。この脆弱性は、libpqの関数であるPQescapeStringやPQescapeByteaにおいて、特定の条件下でメモリ安全性に関わる境界外書き込みが発生する可能性があるもので、接続文字列の構築を動的に行うアプリケーションにおいて特に対策が急務となります。深刻度はModerateとされていますが、信頼できない入力値をエスケープ処理に渡しているシステムでは、任意コード実行や予期せぬクラッシュを招くリスクがあるため、運用者は迅速な更新を検討する必要があります。

機能面および安定性に関する修正も広範囲にわたっており、合計で30件以上の不具合が解消されました。特に注目すべきは、大規模なデータベース運用において発生していた統計情報の収集不全や、特定のクエリ実行計画下でのメモリリーク、インデックスの破損につながる論理的なバグの修正です。PostgreSQL 17以降で導入された新機能に関連する安定性向上も含まれており、高い同時実行性が求められる環境でのロック競合の問題が緩和されています。また、論理レプリケーションの継続性に影響を与えるエッジケースも修正されており、高可用性が求められる本番環境での信頼性が大幅に強化されました。

インフラエンジニアやデータベース管理者にとって、今回のアップデートは定期的なメンテナンスの一環として不可欠なものです。バイナリパッケージの更新だけでなく、必要に応じて共有メモリの再割り当てやプロセス再起動を伴うため、サービス停止時間を考慮した計画的な移行が求められます。特にCVE-2025-1094の対象となるクライアントライブラリを利用している開発者は、サーバー側だけでなく、接続元となるアプリケーション環境のlibpqも最新バージョンへ追従させることが、セキュリティ上の整合性を保つ鍵となります。次回の定期アップデートは2025年5月に予定されていますが、今回の修正内容の重要性を鑑み、早期の適用が推奨されます。